<div dir="ltr"><div class="gmail_default" style="font-size:small;color:rgb(51,51,153)">Considering your rather old version of nginx coming from Ubuntu packages, I suggest you use the lastest stable, <a href="https://nginx.org/en/linux_packages.html#stable">officially available on nginx.org</a>.<br><br></div><div class="gmail_default" style="font-size:small;color:rgb(51,51,153)">Not related to your issue, but should not hurt (except with regressions ofc ;) ).<br></div><div class="gmail_extra"><div><div class="gmail_signature" data-smartmail="gmail_signature"><font size="1"><span style="color:rgb(102,102,102)">---<br></span><b><span style="color:rgb(102,102,102)">B. R.</span></b><span style="color:rgb(102,102,102)"></span></font></div></div>
<br><div class="gmail_quote">On Thu, Sep 29, 2016 at 3:17 PM, hotwirez <span dir="ltr"><<a href="mailto:nginx-forum@forum.nginx.org" target="_blank">nginx-forum@forum.nginx.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Maxim Dounin Wrote:<br>
------------------------------<wbr>-------------------------<br>
<div><div class="h5">> Hello!<br>
><br>
> On Wed, Sep 28, 2016 at 12:44:45PM -0400, hotwirez wrote:<br>
><br>
> [...]<br>
><br>
> > I wanted to mention that I've run into this issue as well when<br>
> trying to<br>
> > enable OCSP stapling, where I have a default_deny SSL server that<br>
> has a<br>
> > self-signed certificate where I don't want to use OCSP stapling, and<br>
> other<br>
> > actual server entries for actual sites where I want OCSP stapling<br>
> enabled.<br>
> > If I enable stapling for only the real sites, it appears to be<br>
> silently<br>
> > disabled.  If I enable it for all server instances, it notices that<br>
> the<br>
> > default server uses a self-signed certificate and disables stapling.<br>
>  If I<br>
> > remove the default server, OCSP stapling works for the remaining<br>
> sites, but<br>
> > then accessing the site using a means other than the correct server<br>
> name<br>
> > provides the SSL certificate for one of the servers.<br>
><br>
> Problems with OCSP stapling if it is disabled in the default<br>
> server{} block were traced to be an OpenSSL bug, silently fixed in<br>
> 1.0.0m/1.0.1g/<a href="http://1.0.2." rel="noreferrer" target="_blank">1.0.2.</a>  See here for details:<br>
><br>
> <a href="https://trac.nginx.org/nginx/ticket/810" rel="noreferrer" target="_blank">https://trac.nginx.org/nginx/<wbr>ticket/810</a><br>
><br>
> If you see the problem it means you have to update the OpenSSL<br>
> library you are using.<br>
><br>
</div></div>Thank you; it's great you tracked that down!  I am on OpenSSL 1.0.1f and<br>
Nginx 1.4.6;  (Ubuntu 14.04 via apt), so that makes sense.  I'll upgrade.<br>
<br>
Thanks again!<br>
<br>
Posted at Nginx Forum: <a href="https://forum.nginx.org/read.php?2,257833,269955#msg-269955" rel="noreferrer" target="_blank">https://forum.nginx.org/read.<wbr>php?2,257833,269955#msg-269955</a><br>
<div class="HOEnZb"><div class="h5"><br>
______________________________<wbr>_________________<br>
nginx mailing list<br>
<a href="mailto:nginx@nginx.org">nginx@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx" rel="noreferrer" target="_blank">http://mailman.nginx.org/<wbr>mailman/listinfo/nginx</a><br>
</div></div></blockquote></div><br></div></div>